CAMERA DEPUTAŢILOR 
LEGE 

privind măsuri de punere în aplicare a Regulamentului (UE) 
2016/679 al Parlamentului European şi al Consiliului din 
27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte 
prelucrarea datelor cu caracter personal şi privind libera circulaţie a 
acestor date şi de abrogare a Directivei 95/46/EC (Regulamentul general 
privind protecţia datelor) 


Camera Deputaţilor adoptă prezentul proiect de lege. 


CAPITOLUL I 

Dispoziţii generale 

Obiectul legii Art. 1. - Prezenta lege stabileşte măsurile 

necesare punerii în aplicare la nivel naţional, în 
principal, a prevederilor art. 9 alin. (4), art. 37-39, 
42, 43, 83 alin. (7), art. 85, 87 - 89 din 
Regulamentul (UE) 2016/679 al Parlamentului 
European şi al Consiliului din 27 aprilie 2016 
privind protecţia persoanelor fizice în ceea ce 
priveşte prelucrarea datelor cu caracter personal şi 
privind libera circulaţie a acestor date şi de abrogare 
a Directivei 95/46/EC, publicat în Jurnalul Oficial al 
Uniunii Europene seria L nr. 119 din 4 mai 2016, 
denumit în continuare Regulamentul general privind 
protecţia datelor. 
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Definiţii 

9 


/V 

Art. 2. - (1) In aplicarea Regulamentului 
general privind protecţia datelor şi al prezentei 
legi, termenii şi expresiile de mai jos se definesc 
după cum urmează: 

a) autorităţi şi organisme publice - Camera 
Deputaţilor şi Senatul, Administraţia 
Prezidenţială, Guvernul, ministerele, celelalte 
organe de specialitate ale administraţiei publice 
centrale, autorităţile şi instituţiile publice 
autonome, autorităţile administraţiei publice 
locale şi de la nivel judeţean, alte autorităţi 
publice, precum şi instituţiile din 
subordinea/coordonarea acestora; 

b) număr de identificare naţional - numărul 

prin care se identifică o persoană fizică în 
anumite sisteme de evidenţă şi care are 
aplicabilitate generală, cum ar fi: codul numeric 
personal, seria şi numărul actului de identitate, 
numărul paşaportului, al permisului de 

conducere, numărul de asigurare socială de 
sănătate; 

c) plan de remediere - anexă la procesul-verbal 

de constatare şi sancţonare a contravenţei întocmit 
în condiţile prevăzute la art. 11, prin care 
Autoritatea Naţonală de Supraveghere a Prelucrării 
Datelor cu Caracter Personal, denumită în 

continuare ANSPDCP, stabileşte măsuri şi un 

termen de remediere; 

d) măsură de remediere - soluţe dispusă de 
ANSPDCP în planul de remediere în vederea 
îndeplinirii de către autoritatea/organismul public 
a obligaţilor prevăzute de lege; 

e) termen de remediere - perioada de timp 

cuprinsă între 60 şi 180 de zile de la data 
comunicării procesului-verbal de constatare şi 
sancţonare a contraventei, în care 
autoritatea/organismul public are posibilitatea 
remedierii neregulilor constatate şi îndeplinirii 

obligaţilor legale. 

/\ 

(2) In cuprinsul prezentei legi sunt, de asemenea, 
aplicabile definiţiile prevăzute la art. 4 din 
Regulamentul general privind protecţia datelor. 
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CAPITOLUL II 

Reguli speciale privind prelucrarea unor categorii de date 

cu caracter personal 


Prelucrarea datelor 
genetice, a datelor 
biometrice sau a 
datelor privind 
sănătatea 


Art. 3. - (1) Prelucrarea datelor genetice, 
biometrice sau a datelor privind sănătatea, în 
scopul realizării unui proces decizional 
automatizat sau pentru crearea de profiluri, este 
permisă cu consimţământul explicit al persoanei 
vizate sau dacă prelucrarea este efectuată în 
temeiul unor dispoziţi legale exprese, cu 
instituirea unor măsuri corespunzătoare. 

(2) Prelucrarea datelor privind sănătatea 
realizată în scopul asigurării sănătăţii publice, 
astfel cum este definită în Regulamentul (CE) 
nr. 1338/2008 al Parlamentului European şi al 
Consiliului din 16 decembrie 2008 privind 
statisticile comunitare referitoare la sănătatea 
publică, precum şi la sănătatea şi siguranţa la 
locul de muncă nu se poate efectua ulterior, în 
alte scopuri, de către terţe entităţi. 


Prelucrarea unui 
număr de identificare 
naţional 
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Art. 4. - (1) Prelucrarea unui număr de 
identificare naţional, inclusiv prin colectarea sau 
dezvăluirea documentelor ce îl conţin, se poate 
efectua în situaţiile prevăzute de art. 6 alin. (1) 
din Regulamentul general privind protecţia 
datelor. 

(2) Prelucrarea unui număr de identificare 
naţional, inclusiv prin colectarea sau dezvăluirea 
documentelor ce îl conţin, în scopul prevăzut de 
art. 6 alin. (1) lit. f) din Regulamentul general 
privind protecţia datelor, respectiv al realizării 
intereselor legitime urmărite de operator, sau de o 
parte terţă, se efectuează cu instituirea, de către 
operator sau de către partea terţă a următoarelor 
garanţii: 

a) punerea în aplicare de măsuri tehnice şi 
organizatorice adecvate pentru respectarea, în 
special, a principiului reducerii la minim a 
datelor, precum şi pentru asigurarea securităţii şi 
confidenţialităţii prelucrărilor de date cu caracter 
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Prelucrarea datelor 
cu caracter personal 
în contextul relaţiilor 

9 

de muncă 


personal, conform dispoziţiilor art. 32 din 
Regulamentul general privind protecţia datelor; 

b) numirea unui responsabil pentru protecţia 
datelor, în conformitate cu art. 8 din prezenta 
lege; 

c) stabilirea de termene de stocare în funcţie de 
natura datelor şi scopul prelucrării, precum şi de 
termene specifice în care datele cu caracter 
personal trebuie şterse sau revizuite în vederea 
ştergerii; 

d) instruirea periodică cu privire la obligaţiile 
ce le revin, a persoanelor care, sub directa 
autoritate a operatorului sau a persoanei 
împuternicite de operator, prelucrează date cu 
caracter personal. 

/V 

Art. 5. - In cazul în care sunt utilizate sisteme 
de monitorizare prin mijloace de comunicaţii 
electronice şi/sau prin mijloace de supraveghere 
video la locul de muncă, prelucrarea datelor cu 
caracter personal ale angajaţilor, în scopul 
realizării intereselor legitime urmărite de 
angajator, este permisă numai dacă: 

a) interesele legitime urmărite de angajator 
sunt temeinic justificate şi prevalează asupra 
intereselor sau drepturilor şi libertăţilor 
persoanelor vizate; 

b) angajatorul a realizat informarea prealabilă 
obligatorie, completă şi în mod explicit a 
angajaţilor; 

c) angajatorul a consultat sindicatul sau, după 
caz, reprezentanţii angajaţilor înainte de 
introducerea sistemelor de monitorizare; 

d) alte forme şi modalităţi mai puţin intruzive 
pentru atingerea scopului urmărit de angajator nu 
şi-au dovedit anterior eficienţa şi 

e) durata de stocare a datelor cu caracter 
personal este proporţională cu scopul prelucrării, 
dar nu mai mare de 30 de zile, cu excepţia 
situaţiilor expres reglementate de lege sau a 
cazurilor temeinic justificate. 



5 


Prelucrarea datelor 
cu caracter personal 
în scopuri jurnalistice 
sau în scopul 
exprimării academice, 
artistice sau literare 


Prelucrarea datelor 
cu caracter personal 
în scopuri de 
cercetare ştiinţifică 
sau istorică, în scopuri 
statistice ori în 
scopuri de arhivare în 
interes public 


CAPITOLUL III 

Derogări 

/V 

Art. 6. - In vederea asigurării unui echilibru 
între dreptul la protecţia datelor cu caracter 
personal, libertatea de exprimare şi dreptul la 
informaţie, prelucrarea în scopuri jurnalistice sau 
în scopul exprimării academice, artistice sau 
literare poate fi efectuată, dacă aceasta priveşte 
date cu caracter personal care au fost făcute 
publice în mod manifest de către persoana vizată 
sau care sunt strâns legate de calitatea de 
persoană publică a persoanei vizate ori de 
caracterul public al faptelor în care este implicată, 
prin derogare de la următoarele capitole din 
Regulamentul general privind protecţia datelor: 

a) capitolul II - Principii; 

b) capitolul III - Drepturile persoanei vizate; 

c) capitolul IV - Operatorul şi persoana 
împuternicită de operator; 

d) capitolul V - Transferurile de date cu 
caracter personal către ţări terţe sau organizaţii 
internaţionale; 

e) capitolul VI - Autorităţi de supraveghere 
independente; 

f) capitolul VII - Cooperare şi coerenţă; 

g) capitolul IX - Dispoziţii referitoare la 
situaţii specifice de prelucrare. 

Art. 7. - (1) Prevederile art. 15, 16, 18 şi 21 
din Regulamentul general privind protecţia 
datelor nu se aplică în cazul în care datele cu 
caracter personal sunt prelucrate în scopuri de 
cercetare ştiinţifică sau istorică ori scopuri 
statistice, în măsura în care drepturile menţionate 
la aceste articole sunt de natură să facă imposibilă 
sau să afecteze în mod grav realizarea scopurilor 
specifice, iar aceste derogări sunt necesare pentru 
îndeplinirea acestor scopuri. 

(2) Prevederile art. 15, 16, 18, 19, 20 şi 21 din 
Regulamentul general privind protecţia datelor nu 
se aplică în cazul în care datele cu caracter 
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personal sunt prelucrate în scopuri de arhivare în 
interes public, în măsura în care drepturile 
menţionate la aceste articole sunt de natură să 

5 

facă imposibilă sau să afecteze în mod grav 
realizarea scopurilor specifice, iar aceste derogări 
sunt necesare pentru îndeplinirea acestor scopuri. 

(3) Derogările prevăzute la alin. (1) şi (2) sunt 
aplicabile numai sub rezerva existenţei garanţiilor 
corespunzătoare pentru drepturile şi libertăţile 
persoanelor vizate, prevăzute de art. 89 alin. (1) 
din Regulamentul general privind protecţia 
datelor. 

/V 

(4) In cazul în care prelucrarea menţionată la 
alin. (1) şi (2) serveşte în acelaşi timp şi altui 
scop, derogările se aplică numai prelucrării în 
scopurile menţionate la alineatele respective. 

CAPITOLUL IV 

Responsabilul cu protecţia datelor 


Desemnarea 
şi sarcinile 
responsabilului cu 
protecţia datelor 


Art. 8. - (1) Operatorii şi persoanele 
împuternicite de operator desemnează un 
responsabil cu protecţia datelor în situaţiile şi 
condiţiile prevăzute de art. 37 - 39 din 
Regulamentul general privind protecţia datelor. 

(2) în cazul în care operatorul sau persoana 
împuternicită de operator este o autoritate publică 
sau un organism public, astfel cum este definit la 
art. 2 alin. (1) lit. a), poate fi desemnat un 
responsabil cu protecţia datelor unic pentru mai 
multe dintre aceste autorităţi sau organisme, 
luând în considerare structura organizatorică şi 
dimensiunea acestora. 

(3) Activitatea şi sarcinile responsabilului cu 
protecţia datelor se realizează cu respectarea art. 
38 şi 39 din Regulamentul general privind 
protecţia datelor şi a reglementărilor legale 
naţionale aplicabile. 
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CAPITOLUL V 

Organisme de certificare 

Acreditarea Art. 9. - (1) Acreditarea organismelor de 

organismelor certificare prevăzute de art. 43 din Regulamentul 

de certificare general privind protecţia datelor se realizează de 

Asociaţia de Acreditare din România - RENAR, 
în calitate de organism naţional de acreditare, în 
conformitate cu Regulamentul (CE) nr. 765/2008 
al Parlamentului European şi al Consiliului din 
9 iulie 2008 de stabilire a cerinţelor de acreditare 

5 

şi de supraveghere a pieţei în ceea ce priveşte 
comercializarea produselor şi de abrogare a 
Regulamentului (CEE) nr. 339/93, precum şi în 
conformitate cu Ordonanţa Guvernului 

5 

nr. 23/2009 privind activitatea de acreditare a 
organismelor de evaluare a conformităţii, 
aprobată cu modificări prin Legea nr. 256/2011. 

(2) Organismele de certificare vor fi acreditate 
potrivit reglementărilor legale aplicabile, în 
conformitate cu standardul EN-ISO/IEC 17065 şi 
cu cerinţele suplimentare stabilite de Autoritatea 
Naţională de Supraveghere a Prelucrării Datelor 
cu Caracter Personal, denumită în continuare 
Autoritatea naţională de supraveghere, precum şi 
cu respectarea art. 43 din Regulamentul general 
privind protecţia datelor. 

CAPITOLUL VI 

Măsuri corective şi sancţiuni 

/V 

Dispoziţii generale Art. 10. - (1) încălcarea dispoziţiilor enumerate 

privind măsuri la art. 83 alin. (4) - (6) din Regulamentul general 

corective şi sancţiuni privind protecţia datelor constituie contravenţie. 

(2) Sancţiunile contravenţionale principale sunt 
avertismentul scris şi amenda contravenţională. 

/V 

(3) încălcarea prevederilor art. 3 - 7 din prezenta 
lege constituie contravenţie şi se sancţionează în 
condiţiile prevăzute de art. 83 alin. (5) din 
Regulamentul general privind protecţia datelor. 
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Aplicarea măsurilor 
corective autorităţilor 

9 

şi organismelor 
publice 


(4) Constatarea contravenţiilor prevăzute de 
prezenta lege şi aplicarea sancţiunilor 
contravenţionale, precum şi a celorlalte măsuri 
corective prevăzute de art. 58 din Regulamentul 
general privind protecţia datelor se fac de 
Autoritatea naţională de supraveghere, în 
conformitate cu dispoziţiile Regulamentului 
general privind protecţia datelor, ale Legii 
nr. 102/2005 privind înfiinţarea, organizarea şi 
funcţionarea Autorităţii Naţionale de 

9 9 9 

Supraveghere a Prelucrării Datelor cu Caracter 
Personal, cu modificările ulterioare, şi ale 
prezentei legi. 

/V 

Art. 11. - (1) In cazul constatării încălcării 
prevederilor Regulamentului general privind 
protecţa datelor şi ale prezentei legi de către 
autorităţle/organismele publice, ANSPDCP 
încheie un proces-verbal de constatare şi 
sancţonare a contravenţei prin care se aplică 
sancţunea mustrării şi la care anexează un plan de 
remediere. 

(2) Termenul de remediere se stabileşte în 
funcţe de riscurile asociate prelucrării, precum şi 
demersurile necesar a fi îndeplinite pentru 
asigurarea conformităţi prelucrării. 

/V 

(3) In termen de 10 zile de la data expirării 
termenului de remediere, ANSPDCP poate să reia 
controlul. 

/V 

(4) In cazul în care autoritatea/organismul public 
constată că nu poate îndeplini în termenul stabilit, 
din motive întemeiate, o parte din măsurile dispuse 
prin planul de remediere, notifică ANSPDCP cu 
privire la acest aspect cu cel puţn 10 zile înainte de 
expirarea termenului, putând solicita totodată 
prelungirea termenului iniţal. 

(5) ANSPDCP analizează solicitarea de 
prelungire a termenului şi comunică răspunsul 
autorităţi/organismului public în termen de 7 zile 
de la primirea cererii. 

(6) Dacă ANSPDCP consideră justificată cererea 
autorităţi/organismului public poate prelungi 
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Constatarea 

contravenţiilor 

9 

şi aplicarea de 
sancţiuni autorităţilor 

9 9 

şi organismelor 
publice 


termenul de remediere cu până la 30 de zile. în caz 
contrar, se aplică prevederile de la alin. (3). 

(7) Responsabilitatea îndeplinirii măsurilor de 
remediere revine autorităţi/organismului public 
care, potrivit legii, poartă răspunderea 
contravenţonală pentru faptele constatate. 

(8) Modelul planului de remediere care se 
anexează la procesul-verbal de constatare şi 
sancţonare a contravenţei este prevăzut în anexa 
Plan de remediere , care face parte integrantă din 
prezenta lege. 

Art. 12. - (1) Dacă în urma controlului prevăzut 
la art. 11 alin. (3) se constată faptul că 
autorităţle/organismele publice nu au adus la 
îndeplinire în totalitate măsurile prevăzute în planul 
de remediere, ANSPDCP, în fiincţe de 
circumstanţele fiecămi caz în parte, poate aplica 
sanctunea contraventonală a amenzii, cu luarea în 
considerare a criteriilor prevăzute de art. 83 alin. (2) 
din Regulamentul general privind protecţa datelor. 

(2) Constituie contravenţe încălcarea de către 
autorităţle/organismele publice, a următoarelor 
dispoziţi din Regulamentul general privind 
protecţa datelor, referitoare la: 

a) obligaţiile operatorului şi ale persoanei 
împuternicite de operator în conformitate cu 
art. 8, 11, 25 - 39, 42 şi 43; 

b) obligaţiile organismului de certificare în 
conformitate cu art. 42 şi 43; 

c) obligaţiile organismului de monitorizare în 
conformitate cu art. 41 alin. (4). 

(3) Constituie contravenţe încălcarea de către 
autorităţle/organismele publice, a dispoziţilor 
art. 3-7 din prezenta lege. 

(4) Contravenţile prevăzute la alin. (2) şi (3) se 
sancţonează cu amendă de la 10.000 de lei până 
la 100.000 lei. 

(5) Constituie contravenţe încălcarea, de către 
autorităţle/organismele publice, a următoarelor 
dispoziţi din Regulamentul general privind 
protecţa datelor, referitoare la: 
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a) principiile de bază pentru prelucrare, 
inclusiv condiţiile privind consimţământul, în 
conformitate cu art. 5, 6, 7 şi 9; 

b) drepturile persoanelor vizate în conformitate 
cu art. 12 - 22; 

c) transferurile de date cu caracter personal către 
un destinatar dintr-o ţară terţă sau o organizaţie 
internaţională, în conformitate cu art. 44 - 49; 

d) orice obligaţii în temeiul legislaţiei naţionale 
adoptate în temeiul capitolului IX; 

e) nerespectarea unei decizii sau a unei limitări 
temporare sau definitive asupra prelucrării, sau a 
suspendării fluxurilor de date, emisă de către 
ANSPDCP în temeiul art. 58 alin. (2), sau 
neacordarea accesului, prin încălcarea dispoziţilor 
art. 58 alin. (1). 

(6) Prin derogare de la art. 8 alin. (2) lit. a) din 
Ordonanţa Guvernului nr. 2/2001, aprobată cu 
modificări şi completări prin Legea nr. 180/2002, 
cu modificările şi completările ulterioare, 
contravenţile prevăzute la alin. (5) se sancţonează 
cu amendă de la 10.000 de lei până la 200.000 lei. 

(7) Constituie contravenţe încălcarea de către 
autorităţle/organismele publice a unei decizii 
emise de ANSPDCP în conformitate cu art. 58 
alin. (2) coroborat cu art. 83 alin. (2) din 
Regulamentul general privind protecţa datelor. 

(8) Prin derogare de la prevederile art. 8 
alin. (2) lit. a) din Ordonanţa Guvernului 
nr. 2/2001, aprobată cu modificări şi completări 
prin Legea nr. 180/2002, cu modificările şi 
completările ulterioare, contravenţile prevăzute la 
alin. (7) se sancţionează cu amendă de la 10.000 
de lei până la 200.000 lei. 

Art. 13. - Prezenta lege intră în vigoare la 5 zile de la data 
publicării în Monitorul Oficial al României, Partea I. 



11 


Acest proiect de lege a fost adoptat de Camera Deputaţilor 
în şedinţa din 9 mai 2018, cu respectarea prevederilor art. 76 alin. (1) din 
Constituţia României, republicată. 


p. PREŞEDINTELE CAMEREI DEPUTAŢILOR 


CARMEN - ILEANA MIHĂLCESCU 
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ANEXĂ 


Plan de remediere 

ziua.luna.anul. 

Modul de îndeplinire a măsurilor de remediere 


Nr. 

Fapta săvârşită 

Măsuri de 

remediere 

Termen de 
remediere 

Mod de 

îndeplinire 






















Alte mentuni 
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